abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 06:00 | Zajímavý software

OMG! Ubuntu! představuje emulátor terminálu Hyper (GitHub) postavený na webových technologiích (HTML, CSS a JavaScript). V diskusi k článku je zmíněn podobný emulátor terminálu Black Screen. Hyper i Black Screen používají framework Electron, stejně jako editor Atom nebo vývojové prostředí Visual Studio Code.

Ladislav Hagara | Komentářů: 15
dnes 06:00 | Zajímavý článek

I letos vychází řada ajťáckých adventních kalendářů. QEMU Advent Calendar 2016 přináší každý den nový obraz disku pro QEMU. Programátoři se mohou potrápit při řešení úloh z kalendáře Advent of Code 2016. Kalendáře Perl Advent Calendar 2016 a Perl 6 Advent Calendar přinášejí každý den zajímavé informace o programovacím jazyce Perl. Stranou nezůstává ani programovací jazyk Go.

Ladislav Hagara | Komentářů: 4
3.12. 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 11
3.12. 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 25
2.12. 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 10
2.12. 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 4
2.12. 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
2.12. 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 1
2.12. 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 773 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: openvpn poloviční bridge

25.5.2007 21:52 vpn
openvpn poloviční bridge
Přečteno: 841×
Mám klienta a server. Klient má eth0 192.168.20.5, tap0 10.1.0.2, server má eth0 192.168.0.4, tap0 10.1.0.1. Můj cíl je dostat se do sítě 192.168.0.0/24. Nevím ale jak nastavit routy. Poradíte mi? DOstal jsem se k tomu, že ze serveru pingnu na 192.168.20.5 a z klienta na 192.168.0.4, ale dál už se nedostanu.

Odpovědi

26.5.2007 10:30 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Prosím poraďte, můj kamarád to řeší maškarádou, ale já bych to chtěl naroutovat.
26.5.2007 11:23 Bazin | skóre: 10 | Velvary
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Ja to řešil pomocí Bridge a na to sem spachtil takovjedle skriptík :
#!/bin/bash

#################################
# Nastavení Skriptu pro Ethernet bridge
#Vpn a Natování 
#################################

# nazev Brdige 
br="br0"

#VPN adapter
tap="tap0"


#Nastavení  sitovky
eth="eth0"
eth_ip="192.168.1.5"
eth_netmask="255.255.0.0"
#ip adresa Gateway na internet 
gat="192.168.1.1"
#Stop Vpn serveru
/etc/init.d/openvpn stop

#otevreme Tap0

for t in $tap; do
    openvpn --mktun --dev $t
done


#vymazem Ip adresy 
for t in $tap; do
ip addr flush dev $t
done

for t in $eth; do
ip addr flush dev $t
done

#Promsic mod nastavíme na obe sitovky
for t in $tap; do
ifconfig  $t promisc up
done

for t in $eth; do
ifconfig  $t promisc up
done

#pridame br0
brctl addbr $br
brctl addif $br $eth

for t in $tap; do
    brctl addif $br $t
done

#nazhavime br0

ifconfig $br $eth_ip netmask $eth_netmask up 

#startujem VPN

/etc/init.d/openvpn start
#PRIDAME GATEWAJ
route add default gateway $gat 
26.5.2007 10:40 mozog | skóre: 28
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
ip route add 192.168.0.0/24 via 10.1.0.1 nepomaha ?
26.5.2007 11:29 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
To ale musim mit na klientu ne?, a to mam, jinak bych se nedostal na druhou stranu na server. Problem je v tom, ze se nenaroutuju do ty vzdaleny site na strane serveru, dostanu se jen na vsechna rozhrani toho serveru.
26.5.2007 23:56 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Jak to naroutuju na serveru?
27.5.2007 10:52 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
nijak dokud se to nenaučís....něco si laskavě přečti a nebo by stačilo projevit trochu snahy s vyhledáváním.
27.5.2007 10:58 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Fakt úžasná rada, jinde jsem se akorát dočetl, že je potřeba použít maškarády, ale někdo někde napsal, že to jde i bez ní a tak mě zajímá jak????
27.5.2007 16:29 Bazin | skóre: 10 | Velvary
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
a hele proč to chceš routovat , když to je pohodlně pomocí Bridge a neni to zas tak těžký ???
27.5.2007 16:44 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Tak pokud se ptáš tak blbě
Jak to naroutuju na serveru?
tak mi to připadá, že na linuxu umíš houby. A jestli na něm umíš houby, tak by ses mohl první naučit základy a pak šťourat do pokročilejších věcí. Jinak na openvpn.net je to v howto popsané krásně krok za krokem. Jak s použitím bridge, tak i s "routováním". Vyloženě je to tam napsané jak pro "blbce". Takže začni tam.
27.5.2007 19:09 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Routovat umím, naroutoval jsem už toho hodně. Jen tady se to nechce vůbec chytit. Postupoval jsem standartně: mám routu na tap0, takže se dostanu na druhou starnu an všechna rozhraní serveru ale dál ne, bez maškarády se nehnu, tak sakra jak to udělat? Routy na druhý straně mám taky a nefunguje to. A bridge je most mezi sítěmi, což je trochu zbytečný, když chci připojit 1 klienta ke vzdálený síti. I návody mluvěj o maškarádě u mýho řešení, tak se ptám jestli to jde i naroutovat příp jak a tak mi tady nenadávejte, když asi ani nevíte o co jde.
28.5.2007 16:45 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
jak to máš vůbec nastavené? Jako roadwarrior, nebo tunel pro jednoho klienta? Sdílíš certifikát nebo máš pro každého klienta vlastní? Zkus tohle (rozsahy si doplň sám, udávám jen příklad):

push "route 192.168.1.0 255.255.255.0" ... tvůj VPN klient dostává IP z tohoto rozsahu
push "redirect-gateway" ... tzn. že vzdálený (VPN) server bude zároveň výchozí bránou. Takže cokoli co tvůj PC nezná bude posláno na něj.

Snad nekecám, protože to píšu z hlavy. Jinak žádné jiné routování není potřeba nastavovat (alespoň ve Slackware). OpenVPN mi všechno ostatní obstaralo samo. Včetně routy, včetně IP a ostatních volovin.

PS: vím o co jde, jinak bych se tu neunavoval.
PS1: nenadávám ti, nastavoval jsem to taky z openvpn.net a na poprvé to chodilo.
PS2: vykat mi teda nemusíš.
28.5.2007 18:06 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Dobře, já už totiž nemám trpělivost, protože se to takovou dobu snažím nastavit a nic. Asi tam mám nějakou chybku ale nemážu na to kápnout. To redirect-gateway tam nechci, bránu chci mít moji. Parsnu sem konfigurák serveru a klienta. Trochu jsem pozměnil IP adresy, ale to je tam vidět.
server:

mode server
tls-server
dev tap0
ifconfig 10.1.0.1 255.255.255.0
ifconfig-pool 10.1.0.2 10.1.0.140 255.255.255.0
push "route 192.168.1.0 255.255.255.0 10.1.0.1"
push "dhcp-option 192.168.1.1"
port 1194
duplicate-cn

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem

log-append openvpn.log

user openvpn
group openvpn
comp-lzo
verb 3

keepalive 10 120
tls-auth ta.key 0

persist-key
persist-tun
verb 2
status openvpn-status.log

plugin /usr/include/openvpn/auth/auth-passwd/openvpn-auth-passwd.so openvpn

routy: 
10.2.0.0/24 dev eth0  proto kernel  scope link  src 10.2.0.4
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.4
10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.1
default via 192.168.1.1 dev eth0


KLIENT:

remote IP
tls-client
port 1194
dev tap0
pull
mute 10

dhcp-option DOMAIN DOMENA
dhcp-option DNS 192.168.1.1

ca ca.crt
cert client.crt
key client.key

comp-lzo
ping 10
ping-restart 60
ping-timer-rem
verb 3
ns-cert-type server

persist-key
persist-tun
tls-auth ta.key 1

auth-user-pass

routy:
192.168.54.0/24 dev eth0  proto kernel  scope link  src 192.168.54.5
192.168.1.0/24 via 10.1.0.1 dev tap0
10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.2
169.254.0.0/16 dev eth0  scope link  metric 1000
default via 192.168.54.1 dev eth0

30.5.2007 16:27 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
No tak prvně, máš ten konfigurák jinačí jak já. Asi jiná verze OpenVPN (1.x) já používám 2.0 ... opravdu netuším. Pak mi připadá vše OK ... jestliže máš routy v obou PC nastavené, tak by to mělo chodit. Jediný problém může být forwarding, netfilter. Nic lepšího mě nenapadá.
30.5.2007 16:52 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Mám verzi 2, ale v tom bych problém nehledal.
30.5.2007 19:00 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
no já mám verzi dva, vycházel jsem z konfiguráků, co jsou i na webu a chodí to naprosto super. Je to krásně a bohatě okomentované. http://openvpn.net/howto.html#server a http://openvpn.net/howto.html#client
30.5.2007 20:49 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
No konfiguráky mi připadají ok, ale v tom návodu je tun zařízení, přes který podle manuálnu nemůžou procházet broadcast pakety a ty já potřebuju.
31.5.2007 17:05 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
A co ti bráni tomu (tak jako mě) tun zařízení zakomentovat a použít tap? Je to přece jen vzorový konfigurák, můžeš jej pozměnit k obrazu svému. Už mě je to furt dokola, přikládám svůj a tímto se všem omlouvám za jeho délku:
local xxx.xxx.xxx.xxx
port 1194
proto udp
dev tap

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem

server 10.144.146.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "route 10.144.146.0 255.255.255.0"
client-config-dir ccd
push "redirect-gateway"
push "dhcp-option DNS 10.144.144.1"
client-to-client

keepalive 10 120
comp-lzo

user nobody
group nobody

persist-key
persist-tun

status /var/log/openvpn-status.log
log-append  /var/log/openvpn
verb 3
28.5.2007 22:29 Martel
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
možná blbej dotaz, ale co forwarding, máte povolenej?
28.5.2007 22:58 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
To jsem se nedíval. To je pravda, pokud nenaběhl skript, kterej mi tohle nahazuje tak nemám. Ozvu se.
29.5.2007 06:49 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Jo tak forwarding povolenej mám.
29.5.2007 13:00 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Kde jeste hledat chybu?
29.5.2007 23:25 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Proč neroutuje ta brána? Není potřeba nastavit nějaká prerouting aj, ve firewallu?
30.5.2007 11:11 Martel
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
v preroute bych asi nic být nemělo, spíš jak vypadá FORWARD. Věci v PRE(POST)ROUTE by v tom zmatek udělat mohly.
30.5.2007 10:51 Martel
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Jo a jak vypadají iptables?
30.5.2007 10:50 Martel
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Podle pravidla "nejjednodušší chyby se nejhůř hledaj" - na compu na kterej se chceš připojit, default gateway je adresa vpn serveru?
30.5.2007 11:08 Martel
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Máš tady uvedený různý verze IP adres, je v tom trochu zmatek. Ale na straně serveru nevidím route informaci pro síť klienta! Zkus kdyžtak traceroute z obou stran, ať je vidět, kam ty pakety dolezou.
30.5.2007 12:53 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Tabulky v iptables mám prázdý. Já spíš myslel, jestli tam nemá být něco nastaveno. Ta route informace i když tam byla, tak to nejele. A ta default gateway na serveru není adresa vpn serveru, ale to by snad nemělo vadit ne? I když jsem nastavil source base routing, tak to nepomohlo. Nastavil jsem: pokud provoz přichází od klienta 192.168.54.5, máš defaultní bránu ip adresu vpn serveru.
31.5.2007 06:25 misace
Rozbalit Rozbalit vše Re: openvpn poloviční bridge

ještě musí být v síti na straně serveru (192.168.0.0/24) routovací záznam, že vše co jde ke klientovi (192.168.20.5, 10.1.0.2) neposílej na defaultní bránu, ale na ovpn server. Budto se ta routa přidá na počítače na který chceš přistupovat nebo na defaultní bránu sítě 192.168.0.0 .

Bez toho ti paket na cílový počítač dojde, ale odpověd se pak z něj špatně pošle na defaultní bránu někam do internetu...

31.5.2007 11:46 Martel
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Přesně to jsem chtěl říct předchozím dotazem
31.5.2007 18:03 vpn
Rozbalit Rozbalit vše Re: openvpn poloviční bridge
Tak malá změna. Klient:
root@vasek:/home/vasek# ping 192.168.1.5
PING 192.168.1.5 (192.168.1.5) 56(84) bytes of data.
From 10.1.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.1.5)
From 10.1.0.1: icmp_seq=3 Redirect Host(New nexthop: 192.168.1.5)
From 10.1.0.1 icmp_seq=1 Destination Host Unreachable
From 10.1.0.1 icmp_seq=2 Destination Host Unreachable
From 10.1.0.1 icmp_seq=3 Destination Host Unreachable
From 10.1.0.1: icmp_seq=4 Redirect Host(New nexthop: 192.168.1.5)
From 10.1.0.1: icmp_seq=5 Redirect Host(New nexthop: 192.168.1.5)

--- 192.168.1.5 ping statistics ---
5 packets transmitted, 0 received, +3 errors, 100% packet loss, time 4013ms
, pipe 4
root@vasek:/home/vasek# traceroute 192.168.1.5
traceroute to 192.168.1.5 (192.168.1.5), 30 hops max, 52 byte packets
 1  10.1.0.1 (10.1.0.1)  7.824 ms  7.555 ms  6.295 ms
 2  10.1.0.1 (10.1.0.1)  3023.844 ms !H  3012.871 ms !H  3014.189 ms !H
server:
server:~# ip route list table main
192.168.54.0/24 dev eth0  proto kernel  scope link  src 10.1.0.1
10.2.0.0/24 dev eth0  proto kernel  scope link  src 10.2.0.4
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.4
10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.1
default via 192.168.1.1 dev eth0

server:~# ip route list table tab2
default via 10.1.0.1 dev tap0

server:~# ip rule
0:      from all lookup 255
201:    from 10.1.0.0/24 to 192.168.1.0/24 lookup tab2
201:    from 192.168.54.0/24 to 192.168.1.0/24 lookup tab2
201:    from all to 192.168.54.0/24 lookup tab2
201:    from all to 10.1.0.0/24 lookup tab2
32766:  from all lookup main
32767:  from all lookup default
31.5.2007 19:15 Martel
Rozbalit Rozbalit vše tak teď už je v tom totální mrd.ník
jaký adresy mají konce toho tapu. Zkus nějak nakreslit topologii tý sítě. A popsat co by to mělo dělat. co má být to rozhraní 10.2.0.4? síť 192.168.54.0 je fakt dosažitelná přez eth0?
31.5.2007 22:59 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
192.168.1.0/24
192.168.54.0/24 - klient 192.168.54.5
  |
ROUTER
eth0 192.168.1.1
eth0:1 192.168.54.1
  |
internet
  |
ROUTER
eth0 192.168.1.1
  |
192.168.1.0/24
  |
openvpn server
eth0 192.168.1.4
tap0 10.1.0.1

Můj cíl je dostat se z 192.168.54.5 do 192.168.1.0/24 skrze openvpn server.
31.5.2007 23:05 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Vítězství, už to jede, stačilo nahradit jeden řádek za 192.168.54.0/24 via 10.1.0.1 dev tap0 a odstranit tabulku tab2.
31.5.2007 23:07 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Tak ne, byl to planý poplach, omylem jsem nechal po restartu serveru zaplou maškarádu :(
31.5.2007 23:20 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
No tak jak je to nakreslené to určitě chodit nebude. 1. nějak nevidím na straně klienta konec sítě 10.1.0.X 2. na straně klienta je taky síť 102.168.1.X

Proč to nepostavit jednoduše?

eth0:192.168.54.X tun: 10.1.0.1 I I internet I I VPN server tun: 10.1.0.2 eth0: 192.168.1.Y ----------------------- PC 192.168.1.Z I----- PC I----- PC

Vynechávám routery - skrz ně je třeba natovat provoz na VPN server (pokud není součástí hraničního routeru)
31.5.2007 23:23 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
nějak jsem zapoměl na pre
31.5.2007 23:22 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
No tak jak je to nakreslené to určitě chodit nebude. 1. nějak nevidím na straně klienta konec sítě 10.1.0.X 2. na straně klienta je taky síť 102.168.1.X

Proč to nepostavit jednoduše?
eth0:192.168.54.X
tun: 10.1.0.1
   I
   I
internet
   I
   I
VPN server
tun: 10.1.0.2
eth0: 192.168.1.Y ----------------------- PC 192.168.1.Z
                                   I----- PC
                                   I----- PC

Vynechávám routery - skrz ně je třeba natovat provoz na VPN server (pokud není součástí hraničního routeru)
31.5.2007 23:29 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Ten klient má ještě samozřejmě jedno rozhraní tap0 10.1.0.2. A tak nějak jak jsi to nakreslil bych to chtěl, akorád, že vpn server je normálně součástí sítě, je píchlej do switche jako ostatní počítače, ty nejsou za ním.
31.5.2007 23:31 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
To, že je za routrem nevadí, ale musíš provoz na jeho port Dnat-ovat skrz router (pokud teda nemáš další veřejné IP adresy).
31.5.2007 23:35 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Ve firmě jsme měli (vlastně do půlnoci ještě máme) takhle propojenejch 20 poboček.
31.5.2007 23:41 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Nakonfiguruj si normálně klasicky VPN tunel mezi 2 PC. Jedno PC bude vpn server. Aspoň jedno PC ale musí mít veřejnou adresu (nebo musíš udělat DNAT na jeho port). Pokud použiješ DNAT, musíš na druhé straně dát do confu parametr FLOAT. směrování nastavíš na routeru tak, že provoz na 192.168.54.0/24 bude přeposílat na vpn server.
31.5.2007 23:50 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Z toho výpisu pingu u klienta vidíš, že vpn posílá klientovi zpátky ICMP paket s informací, že klient má přímé spojení se 192.168.1.5 Vpn se pak sám pokouší přeposlat paket na 192.168.1.5, což mu ale logicky nevyjde, protože 192.168.1.5 je na druhém konci tunelu. Protože ale máš síť 192.168.1.0 na obou koncích, nemá smysl posílat do ní paket tunelem.
1.6.2007 00:04 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Já se potřebuju dostat do tý vzdálený sítě 192.168.1.0/24, nepotřebuju, aby se vzdálená síť dostala do mé sítě, stačí mi když se dostane ke mě, takže by 192.168.54.5 mělo stačit, na klientský straně je ta síť 192.168.1.0 jen kvůli kompatibilitě jednoho klienta, já jí vůbec jinak nepoužívám na klientský straně. Ale jinak, proč si to myslí, že 192.168.1.5 je i u klienta a nesnaží se to rvát přes tunel?
1.6.2007 00:27 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
No to, že 192.168.1.5 je na klientský straně vyplývá z toho, že na klientský straně je taky síť 192.168.1.0. Nastuduj si, jak probíhá směrování v TCPIP. Pokud je síťová část cílové adresy paketu shodná se síťovou částí adresy některého rozhraní, je posílána přímo přez toto rozhraní.
1.6.2007 06:39 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
No ale 192.168.1.5 v klientský síti ani není. A ani nemám standartně nastavený směrování do tý sítě.
1.6.2007 10:34 Martel
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Jo, ale na LAN rozhraní klienta máš adresu ze sítě 192.168.1.0
1.6.2007 10:53 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Tak teď jsem to asi špatně pochopil. Na klientu nemám ip adresu ze sítě 192.168.1.0, je sice fakt, že je spojenej přes stejnej switch ze sítí 192.168.1.0/24, ale všechno routování na 192.168.1.0/24 jde přece přes tap0.
1.6.2007 14:27 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Tak jsem tu klientskou sít převedl kompletně na 192.168.54.0/24 a žádná změna, takže to tím nebylo.
1.6.2007 20:26 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Ani podle originálního návodu to nejede. :( .............
2.6.2007 08:24 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Mimochodem, proč ti nedělá VPN server přímo hraniční router s internetem (myslím tedy iGW)? Pokud je to píchlé do switche musíš přidat na iGW patřičná pravidla do iptables, aby byl veškerý provoz na port 1194 přesměrován na VPN stroj, ale ten stroj musí zároveň mít v routovací tabulce informace o všech subnetech se u tebe vyskytujících. Myslím, že kdybys udělal VPN přímo na iGW ubydou ti starosti. Možná to máš kvůli shapingu, ale to mě napadlo až teď.
2.6.2007 08:18 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Rozepiš to laskavě pořádně. Nic jako eth0:1 neexistuje. Buď rád, že se diskuze neúčastní p. Kubeček. By ti dal. Smím vědět, proč máš na jednom rozhraní dvě IP adresy? Má to nějaký konkrétní smysl?
2.6.2007 11:17 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Smysl to má dočasný kvůli 1 pc v síti a taky kvůli pokusům. Jinak vpn server je umístěn za routerem taky trochu z technických a blbostních důvodů, port je přesměrován a není shapován. Pokud udělám při pokusu nakonfigurovat openvpn server nějakou botu a openvpn server lehne, nepoznamená to důležitý router. A ty informace o subnetech, tím myslíš konkrétně udělat co?
2.6.2007 16:45 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Tak jsem dal ten openvpn server na ten router a jsem na tom úplně stejně.
2.6.2007 18:04 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
Znova jsem si to prohlédl a napsal na papír a nechápu jednu věc. Takže ty máš na jenom konci internetu (tunelu) subnet 192.168.1.0/24 a na druhém konci internetu (tunelu) máš taky subnet 192.168.1.0/24. Pominu-li tu síť 192.168.54.0/24, kterou tam máš z pokusných důvodů, tak vidím na obou koncích tytéž subnety. To ti ale nebude chodit (leda bridge, ale v tom případě oba routery nesmí mít 192.168.1.1). Musíš na jednom konci prostě použít jiný subnet. Na pokusné IP subnety se vykašli a té mašině, se kterou to zkoušíš, dej normální IP z toho samého subnetu, který používáš normálně na síti. Jednak to zjednodušíš a je-li tam chyba, tak ji neuděláš. Zkus to a dej vědět.
2.6.2007 18:21 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
kecám :-) to by platilo pro obyčejný P2P tunel :-)
2.6.2007 18:28 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
EE, 192.168.1.0/24 na klientský straně je z pokusných důvodů. Ale teď už je to jedno, co jsem to dal na router a přidal volbu local, už to jede, díky za rady.
2.6.2007 18:05 vpn
Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
HHHUUURRRÁAA, už to jede. Stačilo v server.conf uvést local VER_IP_ADRESA.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.